So verwenden Sie einen Vorlagenstapel für ein Paar mit hoher Verfügbarkeit Firewall auf Panorama .

So verwenden Sie einen Vorlagenstapel für ein Paar mit hoher Verfügbarkeit Firewall auf Panorama .

52676
Created On 10/29/19 07:43 AM - Last Modified 10/13/23 02:28 AM


Objective


Das Ziel dieses Artikels ist es, zu zeigen, wie ein Vorlagenstapel für ein High Availability ( ) Paar mithilfe von Variablen verwendet HA wird.

Ab PAN-OS 9.0 hat sich der Import des Geräts Panorama geändert.

Gemäß dem Panorama 9.0 Admin Guide: "Kombinieren Sie das Paar nicht HA firewall in einer einzelnen Vorlage, wenn für jeden Peer ein eindeutiger Hostname, eine IP Verwaltungsadresse oder eine Konfiguration konfiguriert HA HA ist. Sie können auch einen eindeutigen Hostnamen, eine IP Verwaltungsadresse oder HA eine Konfiguration lokal auf den Firewalls konfigurieren."

Wenn ein einzelner Vorlagenstapel verwendet wird, ohne die Variablen zu ändern, kann es zu Fehlermeldungen ähnlich der unten genannten wie unten auftreten.
. High-availability ha1 interface ipaddr configured to match peer-ip address(Module: ha_agent)
. Commit failed
 
Fehlermeldung beim Drücken der Vorlage mit der Option "Vorlage erzwingen"

Environment


  • Jede Panorama .
  • PAN-OS 8.1, 9.0, 9.1.
  • Palo Alto Firewalls in High Availability konfiguriert.

Procedure


Die Variablen müssen für die folgenden Parameter festgelegt werden.
  • Hostname.
  • IPVerwaltungsadresse.
  • HA Konfiguration.
Die Schritte, um dasselbe zu erreichen, sind wie folgt.
  1. Importieren Sie die Konfiguration der aktiven firewall .
  2. Bearbeiten Sie die Vorlage, um eine Variable zu verwenden.
  3. Importieren Sie die Konfiguration aus passiv firewall .

Teil 1 - Importieren der Konfiguration des aktiven firewall

  • Konfigurieren Sie auf firewall die Adresse IP der Panorama datei-einstellungen: GUI Device>Setup>Management> Panorama Settings
  • Deaktivieren firewall Sie auf die die Konfigurationssynchronisierung unter GUI : Device>Setup>High Availability>Setup
  • Auf der firewall übernehmen die Änderungen
  • PanoramaFügen Sie unter : firewall GUI Panorama>Managed Devices>Summary die Seriennummer hinzu:
  • Am Panorama , commit die Änderungen
  • PanoramaImportieren Sie die Konfiguration des Geräts unter : GUI Panorama>Setup>Operations>Import Device-Konfiguration inPanorama
  • On Panorama , commit nach dem Import
  • An Panorama drücken Sie die Konfiguration
  • Auf der firewall werden Sie feststellen, dass die übertragene Konfiguration als überschriebene Einstellungen in Netzwerk und Gerät (Vorlage) markiert ist.
Vorlage als overriden-Einstellungen verschoben
  • Drücken Panorama Sie die Konfiguration mit einer " ForceTemplate"
"Vorlagenwerte erzwingen" sollte nur bei Bedarf verwendet werden
  • Auf der firewall wird die Konfiguration als Push-Konfiguration angezeigt
Vorlage pushed als Pushed-Einstellungen angezeigt
 
Dies ist das Ende der Phase 1 : Importieren der aktiven firewall . Wir haben erfolgreich eine Vorlage geladen, und die firewall nimmt sie.

Teil 2 : Bearbeiten der Vorlage zur Verwendung einer Variablen

Nachdem die Vorlage nun funktioniert, überprüfen wir die Blockierpunkte, um dieselbe Vorlage für mehrere Geräte zu verwenden.
  • Hostname-Wert wird nicht von Panorama
Hostnamen-Einstellung nicht definiert durch Panorama
  • Managementadresse IP wird nicht durch Panorama
IPManagement-Adresse nicht durchgeschoben Panorama
  • HA Konfiguration wird von Panorama
HA Konfiguration wird von Panorama

Bei der HA von geschobenen Konfiguration Panorama müssen wir 2 Einstellungen ersetzen:
  • Die Peer IP HA1-Adresse
  • Die Gerätepriorität
Wenn dies nicht geschieht, erhält der Passive die gleiche IP Adresse und Gerätepriorität wie die von active firewall .
Ersetzen Sie dazu diese Werte durch eine Variable (ein generischer Wert, der für jedes Gerät neu definiert werden könnte).
  1. Peer IP HA1-Adresse
Öffnen Sie die Setup-Optionen der Vorlage unter Panorama GUI Verwendung: Device > HIgh Availability > General >Setup. Sicherstellen, dass die richtige Vorlage ausgewählt ist
 
Die Peer IP HA1-Adresse muss ersetzt werden
 
Löschen Sie die IP Adresse im Feld Peer HA1-Adresse, und Es sollte eine neue Option IP "Variable" angezeigt werden.
 
Ersetzen eines Werts durch eine Variable
 
A neues Menü erscheint. Definieren Sie den Namen und den Typ der Variablen und den Standardwert der Variablen. 
Der Typ der Variablen ist der Typ des Eintrags, den diese Variable erhalten soll (eine IP Adresse, ein Text, ein Schnittstellenname...).
 
Verschiedene Arten von Variablen

In diesem Beispiel wird die Variable mit der IP Adresse der aktiven firewall definiert.
 
Variable konfiguriert
  1. Gerätepriorität:
Legen Sie mit dem gleichen Verfahren die "Gerätepriorität" unter GUI : Geräte> HIgh-Verfügbarkeit > allgemeine >Wahleinstellungen fest. 
 
Gerätepriorität mit einer Variablen

Nach Abschluss HA der Vorlagenkonfiguration werden diese Änderungen wiedergeben.
 
HA Konfiguration mit Variablen
 
Um den Vorlagenstapel zu überprüfen, funktioniert er nach dem Hinzufügen dieser Variablen noch, übertragen und pushen an die aktive firewall .
Wenn Fehler auftreten, überprüfen Sie die Änderungen erneut, und korrigieren Sie die änderungen, die an den Vorlagen vorgenommen wurden.

Teil 3 - Import der passiven firewall

Sobald die Vorlage nach dem Hinzufügen der Variablen einwandfrei funktioniert. Die passive firewall Konfiguration sollte in importiert Panorama werden.
  • Konfigurieren Sie auf firewall die IP Adresse der Panorama datei-adresse GUI : Device>Setup>Management> Panorama Settings
  • Deaktivieren firewall Sie auf die die Konfigurationssynchronisierung unter GUI : Device>Setup>High Availability>Setup
  • Auf der firewall übernehmen die Änderungen
  • PanoramaFügen Sie unter : firewall GUI Panorama >Managed Devices>Summary die Seriennummer hinzu:
  • Am Panorama , commit die Änderungen
  • PanoramaImportieren Sie die Konfiguration des Geräts unter : GUI Panorama >Setup>Operations>Import Device-Konfiguration in Panorama
  • On Panorama , commit nach dem Import
  • An Panorama drücken Sie die Konfiguration
  • PanoramaBewegen Sie den Passiven in die firewall Gerätegruppe der aktiven ( : firewall > GUI Panorama Gerätegruppen > (stellen Sie sicher, dass Passiv in der aktiven firewall Gerätegruppe ausgewählt firewall ist)
Hinzufügen der firewall zur Gerätegruppe
  • PanoramaBewegen Sie den passiven in den firewall Vorlagenstapel der aktiven ( : firewall GUI > Panorama Vorlagen> (stellen Sie sicher, dass Passiv im firewall Vorlagenstapel aktiv ausgewählt firewall ist)
Hinzufügen der firewall zum Vorlagenstapel
  • Ein Panorama GUI : > Panorama Verwaltete Geräte > Zusammenfassungsseite und klicken Sie auf die Create (Variable Column), die dem passiven firewall
Klicken Sie auf den Link "Erstellen", um den Wert der Variablen festzulegen
 
  • Überprüfen Sie im Popup-Fenster die Option Nein und klicken Sie auf OK.
Erstellen der Variablendefinition
  • Im nächsten Popupfenster gibt es zwei Möglichkeiten, den Wert jeder Variablen zu definieren (wenn die Bearbeitung nicht durchgeführt wird, erhält der firewall den Standardwert, der bei der Variablenerstellung festgelegt ist):
 
  1. Außerkraftsetzung: Wählen Sie hier die festzulegende Variable aus, klicken Sie auf Überschreiben und legen Sie den gewünschten Wert fest.
Überschreiben eines Werts
  1. Abrufen von Werten, die auf dem Gerät verwendet werden: Wählen Sie hier die variable zu setzen, klicken Sie auf Wert auf Gerät verwendet werden.
Klicken Sie auf den "Wert auf dem Gerät verwenden"
  • Im neuen Fenster, die lokalen Werte auf der für die ausgewählten Variablen eingestellt firewall erscheinen, klicken Sie auf die Variable, die Sie den Wert beibehalten möchten, dann klicken Sie auf "Überschreiben"
Wählen Sie den Wert aus, den Sie als Variablenwert festlegen möchten.
  • Sobald die Werte eingestellt sind, klicken Sie auf Schließen.
Der Wert jeder Variablen wird
  • PanoramaÜber commit die Konfiguration.
  • Panorama Überdiese die Konfiguration auf die passive firewall .
  • Auf der firewall werden Sie feststellen, dass die übertragene Konfiguration als überschriebene Einstellungen in Netzwerk und Gerät (Vorlage) markiert ist.
  • PanoramaDrücken Sie die Konfiguration mit einer " ForceTemplate".
  • Auf der firewall wird die Konfiguration als Push-Konfiguration angezeigt.
Teil 4: Aktivieren der Config-Synchronisierung zwischen HA Peer-Firewalls.
 
Wiederholen Sie diese Schritte für beide Firewalls im HA Paar, wenn Sie eine lokale Konfiguration beibehalten möchten,
die synchronisiert werden muss. Melden Sie sich bei der Weboberfläche auf jeder firewall an , wählen Sie Gerät > Hochverfügbarkeit >Allgemeineaus , und bearbeiten Sie den Abschnitt Setup.
Wählen Sie Config Sync aktivieren aus, und klicken Sie auf OK .
Übernehmen Sie die Konfigurationsänderungen für jede firewall .


 

Additional Information



Panorama Administratorhandbuch - Variablen

Dieses How-to wurde mit Panorama der Ausführung unter PAN-OS 9.0.4 und Firewalls am PAN-OS 8.1.11 geschrieben.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNG0CAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language